e-infrastruktura CESNET
Souhrnný pohled na služby e-infrastruktury CESNET Tom Košňar CESNET z.s.p.o.
[email protected]
Rámcový pohled na e-infrastrukturu CESNET a související služby
Vazba e-infrastruktury CESNET a partnerských e-infrastruktur ~ Národní e-infrastruktura pro VaVaI
Společná komunikační infrastruktura ●
Optická přenosová infrastruktura –
Výkonná platforma pro stavbu sítí a okruhů ● ●
●
2 systémy (zálohují se) DWDM ONS 15454 - až 80 kanálů 1-100Gbps - jádro páteře* OpenDWDM - jedno a dvouvláknové trasy 1-10Gbps, připojování k páteři, redundance
–
Duální připojení uzlů na fyzické vrstvě (optická vlákna)
–
Dostatečné množství paralelních nezávislých kanálů (o vysoké kapacitě)
Společná komunikační infrastruktura ●
IP/MPLS páteřní síť –
Primární IP infrastruktura + další logické sítě nebo okruhy (nezávislé, oddělené) podle potřeb
–
Vysoká schopnost agregace – 100Gbps - „super jádro“: Praha(duální)-Hradec Králové-Olomouc(zdvojený)Brno(zdvojený) *
–
Rychlý přístup do jádra - připojení uzlů do jádra 40100Gbps, Nx10Gbps
–
Redundance, spolehlivost, flexibilita – duální připojení uzlů
Společná komunikační infrastruktura ●
Externí propojení –
GÉANT ~ přímé propojení na fyzické vrstvě ●
–
1x10Gbps IP, 1x10Gbps strukturovaná (E2E), 1x10Gbps LHCONE *
Přeshraniční spojení (cross-border fiber) ●
AT (VIX) 10Gbps, PL 10Gbps, SK (SIX) 10Gbps
–
AMS-IX 2x1Gbps (obě aktivní), → 10Gbps (duben)
–
Veřejný Internet 6Gbps
–
NIX.CZ 2x20Gbps (obě aktivní)
–
TWAREN 1Gbps (622)
–
Amsterodam (SARA) 10Gbps (strukturovaná), část kapacity dále do US (BNL, FermiL, CineGrid,...)
Služby společné komunikační infrastruktury ●
Připojení IP protokolem, IP služba –
●
Služby vyhrazených okruhů a sítí (Circuit) –
●
Realizace přes více vrstev sítě (optická i IP/MPLS vrstva), i zahraničí
Lambda služby –
●
v4, v6, ucast, mcast (IP/MPLS vrstva)
Optické segmenty, eletronicky spojené (OEO konverze), i zahraničí
Fotonické služby (Photonic) –
Čistě optický přenos bod-bod
Služby společné komunikační infrastruktury ●
●
Služby přidělování adresových zdrojů –
IPv4, IPv6 rozsahy
–
Administrace kontaktních údajů v RIPE databázi
Poštovní a DNS služby –
Záložní mail servery
–
„Pračka elektronické pošty“ - v přípravě
–
DNS (primární, sekundární, záložní)
Náročné výpočty – MetaCentrum ●
MetaCentrum zajišťuje a koordinuje provoz NGI (Národní Gridové Infrastruktury) – národní součást EGI (Evropské GI)
Využití sdružených výpočetních a datových zdrojů pro řešení velmi náročných úloh, které jsou za hranicemi výpočetních možností (výkon, dostupný SW, ...) samostatného pracoviště. ●
●
●
●
●
Výpočetní a datové služby – gridové služby, HPC cloud (vč. Podpory Amazon EC2) Aplikační SW – koordinace pořizování a správy programového vybavení Uživatelská podpora – konkrétní problémy, optimalizace algoritmů, … Propojení se zahraničním – v rámci ERA, EGI Zvýhodnění přístupu ke zdrojům – podle dosažených vědeckých výsledků
Náročné výpočty – MetaCentrum ●
●
●
●
●
Integrace výpočetních kapacit do NGI - stávající i plánované –
Pomoc při výběru, instalaci a provozu clusterů, jednotná správa systémového a aplikačního SW
–
Správa účtů, systém pro správu úloh
–
Společný provozní dohled, přizpůsobení místním potřebám, priorita nebo výhradní přístup na své zdroje
K dispozici výpočetní výkon obtížně dosažitelný vlastními silami Dostupnost sdružených prostředků i v případě nedostupnosti vlastních Dostupnost odkudkoli po síti Integrace do systému správy účtů v e-infrastruktuře (jednotná správa) *
Datová úložiště ●
●
Distribuovaná architektura –
Plzeň, Jihlava, Brno
–
Dedikovaná síťová infrastruktura pro propojení technologie úložišť
–
Dedikovaná infrastruktura pro připojení (duální) do páteřní sítě
Hierarchické uspořádání –
Různé způsoby (typy médií) uložení v jednotlivých vrstvách
–
Optimalizace poměru kapacity, přístupové doby, pořizovací ceny a nákladů na údržbu
Služby datových úložišť ●
Prostředí pro zálohování, archivaci, sdílení dat
●
Úložiště pro speciální aplikace
●
Úschovna dat (velké soubory) – FileSender
●
●
●
●
Variabilita přístupu k datům (souborově ~ NFSv4, FTP, rsync, SCP, …), grid storage element, blokový přístup ve speciálních případech Dostupnost odkudkoli po síti (omezení odvislá pouze od přístupových protokolů a parametrů připojené sítě) Integrace do systému správy účtů v e-infrastruktuře (jednotná správa) * Geografická distribuce dat v rámci administrativní domény komunity
Podpora spolupráce a multimédia ●
Videokonference –
Vysoká kvalita (HD), virtuální místnosti, sdílení podkladů, nahrávání obsahu
–
Přístup prostřednictvím specializovaných HW a SW jednotek
–
Dostupnost z libovolného místa e-infrastruktury, IP telefonní sítě CESNET, internetu (dostatečná konektivita) i z veřejné telef. sítě (pouze hlas)
–
Propojení s partnerskými organizacemi v zahraničí
–
Možnost začlenění vlastních zařízení do multimediální infrastruktury
–
Konzultace – prosím využijte před rozšířením vlastní infrastruktury (i na úrovni plánů)
Podpora spolupráce a multimédia ●
●
●
Webkonference –
Přístup pomocí prohlížeče (Flash, Adobe Connect)
–
Virtuální místnosti*, A/V, sdílení plochy, tabule, chat,...
IP telefonie –
Propojení IP-telefonních sítí v rámci e-infrastruktury CESNET a partnerskými sítěmi v ČR a v zahraničí
–
SIP a H.323, přístup institucí přes vlastní hlasovou bránu prostřednictvím ISDN k vlastní ústředně nebo propojení s IP telefonní infrastrukturou instituce podle dohody
Streaming –
Poskytnutí distribuční platformy pro multimediální vysílání do Internetu (Windows Media, MPEG-4, RealVideo, FlashVideo)
Podpora spolupráce a multimédia ●
●
Speciální obrazové přenosy –
Přenosy s vysokým rozlišením a nízkou latencí
–
Přenosy lékařských zákroků, vědeckých vizualizací (SAGE, CAVE), vzdálená spolupráce pří zpracování obrazových dat HD+ (2K, 4K, 8K) apod.
–
Může být i mezinárodní, dostupnost závisí na kapacitě dostupné v lokalitě (nejsnadněji v e-infrastruktuře CESNET)
Videoarchiv –
●
Uložení obsahu a jeho vystavení pomocí streamovacích serverů CESNETu (Windows Media, MPEG-4, RealVideo, FlashVideo)
Foodle –
„Jako Doodle“ přizpůsobený pro autentizaci vůči eduID.cz
Bezpečnost a identita ●
●
●
Řešení bezpečnostních incidentů (CSIRT) –
Platforma (technická, organizační) pro řešení a asistenci při řešení bezpečnostních incidentů v e-infrastruktuře CESNET a administrativní doméně komunity
–
Bezpečnostní tým CESNET-CERTS
eduID.cz –
Česká akademická federace identit
–
Jedno uživatelské jméno a heslo pro přístup k řadě síťových služeb
–
Poskytovatelé služeb z národní komunity i mezinárodní
–
Součást mezinárodní interfederace eduGAIN
Ceritfikáty pro uživatele a servery (PKI) –
Certifikační autorita CESNET CA, certifikáty od TCS (osobní a serverové)
Síť & Identita ●
Služba na pomezí - eduroam –
Z pohledu správce sítě v organizaci služba z oblasti ověření uživatelů
–
Z pohledu koncového uživatele síťová služba
–
Individuálně autentizovaný federovaný přístup k síti roaming uživatelů v hostitelské síti ●
●
Síťovou infrastrukturu zajišťuje hostitelská síť Síťová infrastruktura je opřena o autentizační infrastrukturu –
technicky RADIUS server hostitelské organizace zapojený do národní hierarchie
Monitoring a měření ●
●
Sledování provozu sítě –
Monitoring infrastruktury – sběr, zpracování, zpřístupnění, vizualizace informací o infrastruktuře
–
Sledování IP provozu sítě – sběr, zpracování, zpřístupnění, vizualizace informací o IP provozu, automatická detekce a notifikace jevů, anomálií apod.
Monitorování kvalitativních charakteristik sítě – –
●
Propustnost, zpoždění, jitter, ztrátovost apod. Pro uživatele náročných aplikací, správce sítí apod.
Časové služby –
Časová synchronizace (NTP servery – Stratum 1, rubidiové hodiny)
–
Časová razítka (Time-Stamp Authority)
Konzulatce a školení ●
●
Bezpečnostní školení –
Bezpečnostní aspekty provozu sítí a služeb, používání výpočetní techniky, internetových služeb, sociálních sítí apod. (technické a legislativní aspekty)
–
Pro zaměstnance vysokých škol
–
Pro studenty vysokých škol
Technické konzultace –
●
Ve všech odborných oblastech
Cisco akademie –
Vzdělávací program pro výchovu odborníků pro návrh, budování a správu počítačových sítí
Transfer technologií ●
Projektování fotonických systémů a sítí –
●
Návrh optických systémů na míru
Poskytování licencí –
K výrobě námi vyvinutých zařízení
Jednotný systém správy účtů uživatelů e-infrastruktury ●
●
Přístup individuálních uživatelů ke službám –
tj. služby odebírané na individuální bázi
–
Uživatelská přívětivost
–
Udržitelná správa řízení přístupu ke službám a zdrojům
–
Bezpečnost služeb a přístupu k nim
Cíle
Jednotný systém správy účtů uživatelů e-infrastruktury ●
Koncept a architektura
Jednotný systém správy účtů uživatelů e-infrastruktury ●
Koncept a architektura
●
Hostel IdP –
Poskytuje identity pro uživatele bez domovského IdP
–
Dvě úrovně identit ●
Registrovaný uživatel – ověřený email – Autoregistrace
●
Ověřený uživatel – ověřené jméno, domovská organizace, email – Autoregistrace
+ ověření tváří v tvář registračnímu úředníkovi
Jednotný systém správy účtů uživatelů e-infrastruktury ●
Koncept a architektura
●
Správa účtů e-infrastruktury CESNET – systém Perun* –
Registrace ~ přihláška ke službě ●
Vyvolána při prvním přístupu ke službě
●
Přebírá informace z domovského IdP
●
●
–
Vyžádá si případné doplňující informace potřebné pro službu Vytvoření uživatelského jména a hesla pro einfrastrukturu (vyžaduje-li služba a nebylo-li již vytvořeno při přístupu k jiným službám)
Správa uživatelského profilu ● Úprava údajů, změna hesla apod.
Jednotný systém správy účtů uživatelů e-infrastruktury ●
Koncept a architektura
●
Správa účtů e-infrastruktury CESNET – systém Perun –
–
Správa ●
Virtuální organizace
●
Uživatelské skupiny
●
Přístupová oprávnění
Konfigurace služeb
Jednotný systém správy účtů uživatelů e-infrastruktury ●
Ověření uživatelů při přístupu ke službám
●
„Z browseru“ –
●
eduID.cz + Hostel IdP
Ostatní protokoly –
Přes účet v e-infrastruktuře CESNET
–
Kerberos
Jednotný systém správy účtů uživatelů e-infrastruktury ●
● ●
●
●
●
Shrnutí z pohledu uživatele Hierarchie v přístupu ke službám Východisko: eduID.cz + Hostel IdP – Přímo přístup k některým službám – Zřízení/administrace účtu v e-infrastruktuře pro přístup k ostatním službám Stačí si pamatovat jedno jméno/heslo a vždy si nastavím ostatní (hesla) → výhoda Více účtů – nutnost z technologických důvodů → nevýhoda Více účtů – pro různé služby se uživatel chová k heslům s různou úrovní rizika (např. uložená v mobilních zařízeních) → výhoda z bezpečnostních důvodů –
Některé služby mohou vyžadovat explicitně
???
